blog
Juridische aansprakelijkheid bij hacks: dit moet je als ondernemer weten
Steeds vaker worden bedrijven en organisaties getroffen door een cyberincident, zoals een hack waardoor er sprake kan zijn van een datalek. Een voorbeeld is het recente datalek bij Clinical Diagnostics – een laboratorium dat werkt voor onder andere Bevolkingsonderzoek Nederland – dat veel vrouwen heeft geraakt. Sommige vrouwen die getroffen zijn, willen een schadevergoeding.
Goede beveiliging essentieel
Voor ondernemers en organisaties is goede beveiliging essentieel voor het verantwoord omgaan met persoonsgegevens. Wat ‘goede beveiliging’ inhoudt, hangt af van de situatie — je moet zelf passende maatregelen bepalen. Slechte beveiliging kan leiden tot een datalek, met alle gevolgen van dien.
Persoonsgegevens zijn alle gegevens die direct of indirect naar een persoon te herleiden zijn. Volgens de privacywetgeving (Algemene verordening gegevensbescherming, AVG) mag je deze alleen verwerken als ze terug te voeren zijn op een van de zes in de AVG genoemde grondslagen .
Het kan iedere ondernemer overkomen
Een datalek kan elke ondernemer overkomen. Snel en correct handelen is cruciaal om schade aan de privacy van klanten of medewerkers én je reputatie te beperken. Op grond van de AVG moet je grip houden op de persoonsgegevens die je verwerkt.
Het is zelfs mogelijk dat je bij een datalek verplicht bent dit te melden aan de Autoriteit Persoonsgegevens (AP) én aan de betrokkenen. Zorg dat je weet wat je moet doen. Zo voorkom je grotere problemen achteraf.
Aansprakelijkheid hangt af van maatregelen die genomen zijn
De privacywetgeving (AVG) stelt eisen aan je bedrijfsvoering en vraagt je de juiste maatregelen te nemen voor het verwerken van persoonsgegevens van je medewerkers en klanten. Of je aansprakelijk bent voor schade bij klanten hangt af van de maatregelen die je hebt genomen om de persoonsgegevens te beveiligen. Als blijkt dat je onvoldoende hebt gedaan om een hack met datalek te voorkomen, kun je aansprakelijk worden gesteld.
Wat moet je als ondernemer regelen?
Als ondernemer ben je verantwoordelijk voor de beveiliging van de persoonsgegevens die je verwerkt. Dat betekent dat je moet zorgen voor:
- Goede en deugdelijke beveiliging van je digitale omgeving. Dit is een voortdurende verplichting en geen eenmalige actie. Actieve bewaking van de systemen en regelmatige updates zijn steeds nodig.
- Maak je gebruik van derden die in jouw opdracht de door jou verzamelde persoonsgegevens verwerken? Denk hierbij aan het uitbesteden van je salarisadministratie of bijvoorbeeld expeditie werkzaamheden. Als verwerkingsverantwoordelijke is het belangrijk dat je een schriftelijke verwerkingsovereenkomst hebt met de verwerker. Ook voor de verwerker is een verwerkingsovereenkomst van belang; anders mogen de persoonsgegevens simpelweg niet verwerkt worden.
- Verwerk alleen persoonsgegevens met een duidelijke grondslag en verwerk zo min mogelijk gegevens (‘dataminimalisatie’). Controleer of je alleen relevante data opslaat en verwerkt. Onnodige gegevens bewaren of delen is niet toegestaan. Daar moet een reden voor zijn. Denk bijvoorbeeld aan het te lang bewaren van een cv van een sollicitant.
Wanneer ben je aansprakelijk?
Je kunt aansprakelijk zijn als:
- Er geen schriftelijke afspraken zijn met derden die namens jou persoonsgegevens verwerken.
- Je nalatig bent geweest bij het treffen van beveiligingsmaatregelen waardoor derden toegang hebben gekregen tot de gegevens.
- Je bij een datalek geen tijdige melding hebt gedaan bij de Autoriteit Persoonsgegevens. In sommige gevallen moet je ook de betrokkenen informeren.
- Je onnodig veel of gevoelige data opslaat of deelt.
Wat als je aansprakelijk bent?
Als klanten schade hebben geleden door een datalek waarvoor jij verantwoordelijk bent, kan het zijn dat jij die schade moet vergoeden. Daarnaast kan de Autoriteit Persoonsgegevens (AP) een boete opleggen — en die kan flink oplopen.
Verzekeringen
De gevolgen van een datalek kunnen verzekerd worden met een cyberverzekering of cyberrisicoverzekering. Financiële gevolgen zoals de kosten voor herstel van systemen, forensisch onderzoek naar het incident en omzetverlies als gevolg van de aanval, zijn vaak verzekerd. Ook de aansprakelijkheid voor schade die klanten, leveranciers of andere partijen lijden door het datalek kan onder deze verzekering vallen.
Wees voorbereid
Een cyberrisicoverzekering, een rechtsbijstandverzekering, heldere contracten met IT-partners en een alert cybersecuritybeleid zijn geen overbodige luxe. Zorg dat je weet wat je hebt geregeld en wat niet — en houd dat actueel bij.
Meer informatie en hulp
Wil je meer weten over de privacywetgeving en verwerking van gegevens? Kijk dan op onze site voor meer informatie.
Taino Lourents
Ik ben advocaat bij DAS en ben breed inzetbaar in aansprakelijkheidsdiscussies. Ik heb ruime ervaring in het bijstaan van zowel particulieren als ondernemers. Van belang is mijn inziens om oog te hebben voor details zonder ...
Meer artikelen van Taino LourentsOok interessant voor je
Privacyverklaring voorbeeld: wat moet er allemaal in staan?
Heb je een website en verzamel je persoonsgegevens? Dan ben je verplicht om gebruikers hierover te informeren. Dat doe je met een privacyverklaring. In dit blog leggen we uit wat er allemaal in zo'n privacyverklaring moet staan.
"Wat je niet hebt", hoef je niet te beschermen"
Met de toename van cybercriminaliteit en datalekken is gegevensbescherming belangrijker dan ooit. Alle reden om het belang privacy in de spotlights te zetten.
Waarom is privacywetgeving zo belangrijk voor mij als ondernemer?
Alles over privacy wetgeving voor jou als ondernemer.